Ein Reverse Proxy mit TLS würde auch nichts an der Sicherheit vom Apache Webserver in der Version 1.3.41 verändern.
Beiträge von oqxhuucx
-
-
Zitat
Original geschrieben von flashhawk
Oha, da musste wohl jemand mit ´nem Zweitaccount mal Luft ablassen...Luft? Die Art und Weise der gefährdung personenbezogener Daten und auch die MENGE dieser Daten ist alles andere als "Luft ablassen".
Solche fahrlässige Gefährdungen müssen nachdem die Betreiber nichts unternommen haben entsprechend der öffentlichkeit gemeldet werden. Hoffentlich kümmert sich das BSI auch mal darum: http://telefon-treff.de/showth…ostid=5738387#post5738387 -
Dann muss dieses Forum schlenigst geschlossen werden!
Hier wird schon Traffic der User auf Pornoseiten umgeleitet: http://telefon-treff.de/showthread.php?s=&postid=5738385
Ich werde entsprechende E-Mails ans Bundesamt für Sicherheit in der Informationstechnik(BSI), heise, golem, netzpolitik.org usw. senden, dass hier nachweislich sehenden Auges und damit BEWUSST personenenbezogene Daten völlig ungeschützt durchs Internet übetragen werden, die Server nicht gewartet werden und Sicherheitslücken aufweisen und meldungen diesbezüglich ignoriert werden.
Damit treten die Admins nämlich in rechtliche Haftung für gestohlene Daten!
Das ist einfach eine Unverschämtheit seitens der Admins meldungen diesbezüglich einfach zu ignorieren.
Hier sind stand gerade laut Forensoftware folgende Anzahl an Benutzer registriert: 222243
Das ist einfach krank eine Datenbank dieses Ausmaßes so ins Internet zu stellen.
-
Das hängt damit zusammen, dass JEDER der Zugriff auf z.B. dein WLAN oder sich irgendwo im Internet befindet und dein Traffic geht da durch deine Logindaten einsehen kann die du hier eingibst, natürlich inclusive das Passwort in Klartext.
Er hat auch problemlos die Möglichkeit deine Anfragen an den telefon-treff.de Server dort hin um zu biegen worauf er gerade Lust hätte. Auch zu einer SEX-Seite.Was kann dagegen unternommen werden? Die technische verantwortlichen können KOSTENFREI die Server und dein Traffic der zu den Servern geht absichern.
Tuen sie das? Nein. Wurden Sie mehrfach darauf hin aufmerksam gemacht, dass Sie damit jeden Besucher dieser Homepage gefärden, weil jeder telefon-treff.de-Link auf gefährliche Seiten umgeleitet werden können und damit auch noch zusätlich die Browser von jeden telefon-treff.de Besucher angegriffen werden kann? JA, SIE WURDEN MEHRFACH AUF DIE SICHERHEITSPROBLEME AUFMERKSAM GEMACHT!Hier liegt die reinste Unfähigkeit seitens der Betreiber dieser Homepage vor! Sie gefährden alle Nutzerdaten!
Man beachte: Wenn sich der unfähige Admin bei telefon-treff.de einloggt, dann sendet dieser seine Zugangsdaten im Klartext durch vielleicht ein offener(unverschlüsselter WLAN Traffic) Schnellrestaurant-Hotspot. Danach kann sich jeder der auch nur ein Bisschen Ahnung von sicherheit hat und sich im selben Schnellrestaurant befand mit seine Zugangsdaten ins Forum einloggen und die Datenbanken einsehen.
Und da der Admin mehrfach gezeigt hat, dass er offensichtlich keine Ahnung von Sicherheit hat, loggt er sich vermutlich auch als Admin in öffentliche/ungeschützt WLANs hier im telefon-treff.de Forum ein.Und hier nochmal einiges mehr dazu zum nachlesen: http://telefon-treff.de/showth…eadid=592890&pagenumber=4
-
Zitat
Original geschrieben von klausN80X
Wobei es bei TT im gründe nichts zu holen geben sollte.
Also warum sollte es gehackt werden.Ich würde ein Abendessen darauf wetten, dass die Passwörter im Klartext oder wenn überhaupt miserabel gehasht werden.
Somit hätte man benutzernamen + e-mail adressen + passwörter. Das stellt schon einen wert dar. Insbesondere da die benutzerdatenbank nicht aus "finanziell schwache kinder" sonder eher aus "erwachsene fachleute" besteht. Somit haben die Daten in der TT-Datenbank auch einen höheren Wert.Wer den Server hacken möchte kann sich mal CVE's wie z.B. CVE-2010-0010 ansehen. Damit wäre auf dem server Code Execution möglich. Und hoffentlich versucht der Admin jetzt nicht sinnfreies "security by obscurity" indem er diese faktische Info aus meinem Post löscht. Den diese hat man innerhalb von Sekunden wenn man auch nur das geringste von sicherheit versteht.
-
Zitat
Original geschrieben von klausN80X
Ja sicher ist https sicherer, aber nochmal die Frage:
Was genau soll den bei TT geschützt werden?Die Zugangsdaten der Benutzer, die Clients der Benutzer, die proivate Kommunikation der Benutzer.
ZitatOriginal geschrieben von klausN80X
Die Nicknemen und Passwörter?
JaZitatOriginal geschrieben von klausN80X
Die Posts, die auch ohne Anmeldung jeder lesen kann?
Die Umfragen, die auch so jeder sehen kann?
Selbstverständlich nicht, da diese an die öffentlichkeit geschickt werden.ZitatOriginal geschrieben von klausN80X
Private Nachrichten, die idR eh keine relevanten Infos beinhalten?
Ja, selbstverständlich! Usability sagt dem "durchschnittlichen" Benutzer, dass etwas was private Nachricht heißt auch privat ist. Wenn das nicht geschützt ist und somit nicht privat, ist so etwas auch gerichtlich in ein Rechtsstreit nicht haltbar.
In PNs werden Kontodaten und Adressen bei privatverkäufen im Biete/Suche Forum geteilt.
In PNs werden Kundennummern von kundenaccounts geteilt. Verbunden mit der E-Mail adresse die man im account hier einsehen kann und das Passwort welches im Klartext durchs internet geschickt wird sind damit aufgrund der Tatsache, dass der Homo Sapiens dazu neigt überall das gleiche Passwort ein zu setzen schon sehr kritische Sachen möglich!ZitatOriginal geschrieben von klausN80X
Die Handyhistorie, die eher unspektakulär ist?
Oder die Signaturen, die auch jeder einsehen kann?
So etwas ist doch öffentlich - wie die posts. Darum gehts doch gar nicht.ZitatOriginal geschrieben von klausN80X
Am Ende würde https wohl eher https schützen, genial!
Das rechtfertigt die Umstellung eines zunehmend rückläufig frequentierten Forums. :top:
(Sorry für meinen Sarkasmus, aber ich bin mir relativ sicher das ihr den Funken Wahrheit darin finden werdet.)Hä? HTTPS nutzt TLS um den Payload zu schützten. Man nutzt nicht TLS um TLS ab zu sichern. Was ist den das für eine blödsinnige Aussage?
Weiterhin sagst du offensichtlich sarkastisch, dass es sich nicht lohnt dieses forum durch vollständlich kostenfreie Umstellung des HTTP-Servers (hat nichts mit der veraltenen vbulletin software zu tun) weil dieses forum eh ausstirbt? Also lieber unsicher sterben lassen anstatt das der Admin mal 30Min Zeit investiert und den Apache Version 1.3.41 HTTP-Server auf HTTPS aktualisiert?
Stattdessen sollte er weiterhin eher die Zeit darin investieren, Beiträge von User falsch ein zu Ordnen (er hat meinen alten Beitrag in "neue Forensoftware" Thread geschoben obwohl jeder weiß, dass die Forensoftware idr. von der HTTP-Serversoftware unabhängig ist).
Außerdem möchte ich gerne wissen warum um himmels willen der Verweis in meinen ersten Post auf LetsEncrypt mit XXX ersetzt wurde. LetsEncrypt ist kein gewinnorientierter CA(certificate authority) sondern ein gemeinnütziger Zusammenschluss vieler Individuen die einzig und allein "Geld ins Projekt stecken" um das Internet sicherer zu machen.
Verweis auf letsencrypt ist ebenso wenig werbung wie ein verweis auf wikipedia oder ein verweis auf firefox.
Zitiert lieber alle facebook-links oder sonstigen gewinnorientierten blödsinn dessen Geschäftsbedingungen die Grundrechte in Deutschland verletzen (Urteile zum Thema kann ich verlinken falls gewünscht). -
Freut euch doch über die wechselnde MAC Adresse. Das ist gut für euren Datenschutz. Diese Funktionalität wird aktuell extra in neue Softwareversionen eingebaut - Smartphone und Computer.
-
Was ist die maximal aufladbare Guthabenhöhe bei Rossman Mobil (der alte Tarif bevor otelo kam)?
-
Guten Abend. Ich bekam mehrere Warnungen beim erstellen des Accounts und beim login, dass HTTPS fehlt und meine Daten völlig ungeschützt incl. Passwort durchs Internet übertragen werden und jeder dazwischen das lesen kann!
Bitte schaltet DRINGEND HTTPS ein. Mit xxxx kostet das nicht mal etwas: https://xxxx/
EDIT: Warum ist mein alter Beitrag gelöscht worden? Habe diesen zum Glück noch gesichert gehabt und konnte diesen so rekonstruieren. Warum werden sicherheitskritische Meldungen hier im Forum gelöscht?!
-
Sicherheitskritisches Problem! - HTTPS fehlt beim login
Guten Abend. Ich bekam mehrere Warnungen beim erstellen des Accounts und beim login, dass HTTPS fehlt und meine Daten völlig ungeschützt incl. Passwort durchs Internet übertragen werden und jeder dazwischen das lesen kann.
Bitte schaltet dringend HTTPS ein. Es kostet nicht mal was: http://xxxxxxx